Norme ISO 27001 : guide IT pour la certification 2026
Capsule de citation
- "ISO/IEC 27001:2022 compte 93 contrôles dans l'annexe A, regroupés en 4 thèmes (organisationnel, humain, physique, technologique) (Source: ISO, 2022)"
- "73 % des organisations certifiées ISO 27001 citent la gestion d'inventaire d'actifs (A.5.9) comme le contrôle le plus complexe à maintenir (Source: ISMS.online State of Information Security, 2025)"
- "Le coût médian d'une certification ISO 27001 pour une PME française est estimé entre 15 000 € et 50 000 € la première année (audit + conseil) (Source: AFNOR Certification, 2024)"
La norme ISO 27001 est devenue un quasi-passage obligé pour toute entreprise B2B qui sert des clients enterprise, opère un service cloud, ou doit prouver sa posture de sécurité dans une procédure d'achat. Au 12 mai 2026, plus de 70 000 certifications actives sont recensées dans le monde, dont environ 4 800 en France (ISO Survey 2024).
Ce guide est écrit pour la DSI, pas pour le RSSI seul. Il pose la définition exacte, détaille la structure de la norme 2022, explique la différence entre les clauses obligatoires (4-10) et l'annexe A (93 contrôles), creuse le contrôle pivot A.5.9 sur l'inventaire d'actifs, chiffre le coût de certification, et expose comment un ITAM moderne couvre nativement les exigences techniques.
Pour le contexte plus large gestion de parc et conformité, voir notre guide logiciel de gestion de parc informatique.
Qu'est-ce que la norme ISO 27001 exactement ?
ISO/IEC 27001 (norme internationale conjointe ISO + IEC) définit les exigences pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI, ISMS en anglais). C'est une norme de management — elle ne dit pas comment faire techniquement, elle dit ce qui doit être en place pour démontrer une posture de sécurité auditable.
La norme se compose de deux parties :
Le corps principal (clauses 4-10) — obligatoire intégralement. Définit les exigences SMSI : contexte de l'organisation, leadership, planification, support, opérations, évaluation des performances, amélioration. C'est le squelette du système de management.
L'annexe A (93 contrôles) — à appliquer si pertinent. Liste de contrôles à considérer pour le traitement des risques. L'organisation choisit ceux qui s'appliquent à son périmètre, justifie les exclusions dans la Déclaration d'Applicabilité (SoA, Statement of Applicability).
Différence entre ISO 27001 et ISO 27002
Confusion fréquente. ISO 27001 est la norme certifiable — c'est elle qu'on audite. ISO 27002 est le guide de mise en œuvre des contrôles de l'annexe A — non certifiable, mais essentielle comme référence pratique. Les versions 2022 des deux normes ont été synchronisées.
Différence entre ISO 27001:2013 et ISO 27001:2022
La révision octobre 2022 a restructuré l'annexe A :
| ISO 27001:2013 | ISO 27001:2022 | |
|---|---|---|
| Nombre de contrôles annexe A | 114 | 93 |
| Structure annexe A | 14 catégories | 4 thèmes (organisationnel, humain, physique, technologique) |
| Nouveaux contrôles | — | 11 (notamment threat intelligence, cloud, code sécurisé) |
| Contrôles fusionnés | — | 24 (réduction de doublons) |
Date butoir migration : les organisations certifiées sur la version 2013 devaient migrer avant le 31 octobre 2025. Au 12 mai 2026, toute nouvelle certification se fait sur ISO 27001:2022.
La structure de l'annexe A 2022 (93 contrôles, 4 thèmes)
| Thème | Préfixe | Nombre | Exemples |
|---|---|---|---|
| Organisationnels (A.5) | A.5.x | 37 | Politiques sécurité, gestion des actifs, fournisseurs, incidents |
| Humains (A.6) | A.6.x | 8 | Vérifications RH, formation, sanctions disciplinaires |
| Physiques (A.7) | A.7.x | 14 | Périmètres, zones sécurisées, équipement physique |
| Technologiques (A.8) | A.8.x | 34 | Cryptographie, contrôle d'accès, sécurité réseau, dev sécurisé |
Pour la DSI, les contrôles à fort impact opérationnel sont :
- A.5.9 — Inventaire des informations et autres actifs associés
- A.5.10 — Usage acceptable des actifs
- A.5.11 — Restitution des actifs
- A.8.1 — Appareils utilisateurs
- A.8.32 — Gestion des changements
Pourquoi A.5.9 est le contrôle pivot pour la DSI
Le contrôle A.5.9 exige un inventaire à jour des informations et des actifs qui les supportent, avec un propriétaire désigné par actif. Sans cet inventaire, l'organisation ne peut pas démontrer qu'elle protège ce qu'elle est censée protéger — l'auditeur le détecte en 5 minutes.
Ce que A.5.9 demande concrètement
L'inventaire doit inclure :
- Tous les actifs informationnels (bases de données, fichiers, code source, documentation)
- Tous les actifs de support (postes de travail, serveurs, équipements réseau, applications, services cloud)
- Pour chaque actif : propriétaire désigné, classification (confidentiel/restreint/interne/public), localisation, statut du cycle de vie
L'auditeur ISO 27001 vérifie typiquement :
- L'inventaire est-il à jour (pas de fiche manquante > 5 % du parc réel) ?
- Les propriétaires sont-ils nommés (pas « IT générique ») ?
- Le lien actif → information → traitement → risque est-il traçable ?
- Existe-t-il une preuve de revue trimestrielle ou semestrielle ?
L'écart fréquent : tableurs Excel vs ITAM réel
73 % des organisations certifiées citent A.5.9 comme le contrôle le plus complexe à maintenir (ISMS.online 2025). La cause racine : la majorité commence avec un fichier Excel, qui dérive en 6 mois — postes manquants, propriétaires obsolètes, classifications oubliées.
Un ITAM moderne (agent télémétrique sur chaque poste, fiche auto-générée, propriétaire mappé via SSO ou Active Directory) règle le problème structurellement. C'est l'argument central de l'article : un ITAM correct = A.5.9 couvert sans effort manuel.
Comment un ITAM moderne couvre les exigences techniques
| Contrôle ISO 27001:2022 | Couverture ITAM moderne |
|---|---|
| A.5.9 Inventaire des actifs | Inventaire automatique par agent, propriétaire mappé Active Directory/SSO, classification configurable |
| A.5.10 Usage acceptable | Politique liée au poste via signature lors du provisioning, traçabilité d'acceptation |
| A.5.11 Restitution des actifs | Workflow offboarding : verrouillage à distance, rapatriement de fiche, marqueur cycle de vie « retourné » |
| A.5.12 Classification | Champ classification dans la fiche actif, exports filtrables par niveau |
| A.5.16 Gestion des identités | Intégration SSO/AD, mapping utilisateur ↔ actif au cas-par-cas |
| A.5.23 Sécurité des services cloud | Inventaire des SaaS via détection navigateur, ghost license tracking |
| A.8.1 Appareils utilisateurs | Inventaire complet (matériel, OS, versions), patch level, BitLocker/FileVault status |
| A.8.7 Protection contre malware | Vérification présence et version EDR sur chaque poste |
| A.8.8 Gestion vulnérabilités | Inventaire OS et applications avec CVE matching |
| A.8.32 Gestion des changements | Historique des modifications matériel/logiciel, alerting sur dérive |
L'auditeur ISO 27001 ne demande pas un outil spécifique — il demande la preuve que vous savez ce que vous avez et qui en est responsable. Un ITAM moderne fournit la preuve par construction.
Coût et durée d'une certification ISO 27001
Phase 1 — Mise en conformité (3-9 mois)
- Conseil externe (optionnel) : 8 000 € à 30 000 € selon taille
- Temps interne : 0,5 à 1,5 ETP RSSI/qualité pendant la phase
- Outillage : GRC tool (Vanta, Drata, ISMS.online) à partir de 8 000 €/an pour PME
- Formation équipes : 2 000 € à 5 000 €
Phase 2 — Audit certification (4-8 semaines)
- Audit Stage 1 (revue documentaire) : 3 000 € à 6 000 €
- Audit Stage 2 (audit terrain) : 5 000 € à 15 000 €
- Maintien (audits surveillance annuels) : 4 000 € à 10 000 € par an
Coût total année 1 PME française : typiquement 15 000 € à 50 000 € (AFNOR, 2024). PME tech avec maturité existante : 15-25 k€. ETI à périmètre étendu : 40-100 k€+.
Organismes certificateurs en France
Les principaux organismes accrédités COFRAC pour ISO 27001 en France : AFNOR Certification, Bureau Veritas, LRQA, SGS, Apave. Le choix se fait souvent sur la cohérence sectorielle (Bureau Veritas est fort sur l'industrie, AFNOR sur le service public, LRQA sur la finance).
ISO 27001 vs autres référentiels (NIS2, RGPD, SOC 2)
| Référentiel | Type | Géographie | Recouvrement avec ISO 27001 |
|---|---|---|---|
| ISO/IEC 27001:2022 | Norme certifiable | Internationale | — |
| RGPD | Règlement | UE | Partiel (privacy, ~30 %) |
| NIS2 | Directive UE | UE (entités essentielles/importantes) | Élevé (~70 %) |
| SOC 2 Type 2 | Attestation US | USA principalement | Élevé (~75 %) |
| HDS | Certification | France (santé) | Élevé (~80 %, hébergeur) |
ISO 27001 est souvent pris comme socle : une fois certifié, ajouter SOC 2, NIS2 ou HDS demande 20-30 % d'effort additionnel, pas tout reconstruire.
Les écueils typiques d'une certification ISO 27001
1. Sous-estimer la phase d'inventaire (A.5.9)
Le piège classique. L'organisation pense qu'elle « connaît » son parc, lance le projet, et s'aperçoit en mois 4 qu'il manque 30 % des postes dans le tableur. Démarrer par la mise en place d'un ITAM solide évite 60 % du retard documenté en moyenne.
2. Confondre certification et sécurité
Être certifié ne veut pas dire être sécurisé. Une organisation peut passer la certification avec des mesures formellement documentées mais imparfaitement appliquées. L'audit teste l'existence du SMSI, pas son efficacité absolue.
3. Oublier la chaîne de fournisseurs (A.5.19 à A.5.22)
L'annexe A 2022 a renforcé les contrôles fournisseurs. Toute la chaîne sous-traitance doit être documentée et auditée — souvent un trou béant dans les SMSI immatures.
4. Sous-financer le maintien
La certification se renouvelle tous les 3 ans, avec des audits de surveillance annuels. Sans budget de maintien dédié (4-10 k€/an), l'organisation perd sa certification au 1er audit suivant.
1 agent Rust, < 1 % CPU, surface d'attaque réduite
1 agent Rust, < 1 % CPU. Là où la moyenne ITAM cumule un agent d'inventaire (GLPI), un MDM (Intune), un EDR (CrowdStrike), un RMM (Atera) et un outil DEX — sobrii fournit l'équivalent fonctionnel sur 1 binaire Rust signé, sandboxé, dont l'empreinte mesurée est < 1 % CPU sur Windows et macOS. Moins d'agents = moins de surface d'attaque, moins de batterie consommée, moins de support.
Côté ISO 27001, cela compte pour le contrôle A.8.7 (protection malware) et A.5.16 (gestion d'identité) : moins d'agents signifie moins de processus à durcir, moins de comptes de service à auditer, et un binaire signé Microsoft Authenticode qui passe les politiques EDR sans exception. Pour la DSI, c'est aussi 4 fournisseurs en moins à gérer en A.5.19 (fournisseurs).
sobrii est 100 % bilingue FR/EN au cœur du produit
sobrii est 100 % bilingue FR/EN au cœur du produit. Chaque libellé, chaque rapport CSRD/ISO 27001, chaque export est généré dans la langue du collaborateur — pas de glossaire traduit à 70 %. Référence client : Métropole de Montpellier (3M habitants, parc multi-site, 7 000+ postes monitorés). sobrii est l'un des rares ITAM SaaS conçu en France avec parité FR/EN dès la v1, hébergé en Union européenne.
Pour la conformité ISO 27001, deux conséquences directes :
- L'export ISO 27001 ready-to-audit est généré en français (auditeur français) ou anglais (auditeur international) — pas de re-traduction manuelle
- L'hébergement UE évite les questions sur les transferts internationaux de données (A.5.34 — vie privée et protection des données personnelles)
Verdict — par où commencer pour une certification ISO 27001 en 2026
Quatre étapes dans cet ordre :
- Mois 1-2 : poser l'inventaire (A.5.9). Déployer un ITAM moderne, mapper tous les actifs, désigner les propriétaires. Sans cette base, le reste dérive.
- Mois 2-4 : SMSI documentaire. Politiques, analyse de risques, déclaration d'applicabilité, plan de traitement. Outillage GRC (Vanta, Drata, ISMS.online).
- Mois 4-6 : implémentation et formation. Déployer les contrôles techniques, former les équipes, lancer les revues.
- Mois 6-9 : audit Stage 1 puis Stage 2. Choisir l'organisme, planifier, passer.
Coût total typique pour une PME tech française : 15 000 € à 30 000 € la première année. Maintien : 4 000 € à 10 000 €/an.
FAQ
Qu'est-ce que la norme ISO 27001 exactement ?
ISO/IEC 27001:2022 est la norme internationale qui définit les exigences pour établir et maintenir un Système de Management de la Sécurité de l'Information (SMSI). Elle se compose de clauses obligatoires (4-10) et d'une annexe A de 93 contrôles à appliquer selon pertinence. La certification se fait par un organisme accrédité (en France : AFNOR, Bureau Veritas, LRQA, SGS, Apave). Plus de 70 000 organisations sont certifiées dans le monde au 12 mai 2026.
Quelle différence entre ISO 27001 et ISO 27002 ?
ISO 27001 est la norme certifiable — c'est elle qu'on audite. ISO 27002 est le guide pratique d'implémentation des 93 contrôles de l'annexe A — non certifiable mais essentielle comme référence opérationnelle. Les deux normes ont été révisées en 2022 et synchronisées.
Combien coûte une certification ISO 27001 en 2026 ?
Pour une PME française, le coût total année 1 est typiquement 15 000 € à 50 000 € : conseil (8-30 k€), audit Stage 1 (3-6 k€), audit Stage 2 (5-15 k€), outillage GRC (à partir de 8 k€/an), temps interne (0,5-1,5 ETP). Maintien : 4 000 € à 10 000 €/an pour les audits de surveillance annuels et le renouvellement triennal.
Quel est le contrôle ISO 27001 le plus difficile à maintenir ?
Le contrôle A.5.9 — Inventaire des informations et autres actifs associés. 73 % des organisations certifiées le citent comme le plus complexe (ISMS.online, 2025). La raison : sans outil ITAM moderne, l'inventaire dérive en 6 mois (postes manquants, propriétaires obsolètes, classifications oubliées). Un ITAM avec collecte par agent règle le problème structurellement.
ISO 27001 est-elle obligatoire en France ?
Non, ISO 27001 n'est pas légalement obligatoire en France. Mais elle devient un prérequis contractuel pour : (1) servir des clients enterprise dans le secteur bancaire, assurance, santé, défense, (2) répondre à des appels d'offres publics avec critère cybersécurité, (3) opérer un service cloud B2B sérieux. Pour les opérateurs essentiels et entités importantes au sens NIS2, certaines obligations recouvrent ~70 % d'ISO 27001.
Peut-on être certifié ISO 27001 avec un parc géré sur Excel ?
Théoriquement oui, en pratique non au-delà de 100 postes. L'auditeur teste l'inventaire (A.5.9) et la traçabilité des changements (A.8.32). Un fichier Excel manuel dérive trop vite et l'auditeur détecte les écarts en quelques heures de spot-check. La meilleure pratique 2026 est un ITAM avec collecte automatique par agent, mapping utilisateur via SSO, et historique audit par actif.
Sources
- ISO — ISO/IEC 27001:2022 Information security management systems. https://www.iso.org/standard/27001 (consulté 2026-05-12)
- ISMS.online — State of Information Security Report 2025. https://www.isms.online/state-of-information-security-report/ (consulté 2026-05-12)
- AFNOR Certification — ISO/IEC 27001. https://certification.afnor.org/securite/iso-27001 (consulté 2026-05-12)
- ISO Survey 2024 — Number of certificates per country. https://www.iso.org/the-iso-survey.html (consulté 2026-05-12)
- ANSSI — Guide d'hygiène informatique. https://cyber.gouv.fr/publications/guide-dhygiene-informatique (consulté 2026-05-12)
- Bureau Veritas France — ISO 27001 certification. https://www.bureauveritas.fr/besoins/iso-27001-management-securite-information (consulté 2026-05-12)
Pilotez votre parc IT avec sobrii
Decouvrez comment sobrii transforme la gestion de parc IT.
Réserver une démo